Thought Leadership
Schnelle Antwort – schnell in Schwierigkeiten?
Quick Response-Codes halten, was ihr Name verspricht: Sie liefern schnelle Antworten. Etwa auf Fragen zu Produktfunktionen oder Services der Hersteller. Sie liefern möglicherweise aber auch, so warnen jetzt Security-Experten, Gefahren für die Datensicherheit. Demnach können der Missbrauch der trendigen Zeichenketten für Social Engineering-Angriffe und raffinierte Betrugsmaschen mit QR-Code-Scans nicht nur die persönlichen Daten einzelner Benutzer, sondern die Informationssicherheit ganzer Unternehmen gefährden.
Um einen QR-Code ausfindig zu machen, muss man heutzutage nicht mehr lange suchen. Anfang der 90er Jahre für Toyota zur Markierung von Baugruppen und Komponenten in der Automobilproduktion entwickelt, zieren die eckigen Barcodes heute praktisch jedes Konsumgut oder Dienstleistungsprodukt. Die schwarz-weiße Matrix findet sich auf Verpackungen, Postern und Plakatwänden, in Magazinen und Zeitungen – und wirkt recht unscheinbar. Dabei ist die Ansammlung aus kleinen Punkten und Quadraten nicht weniger, als ein Sprungbrett von der Offline- in die Online-Welt.
Der kleinste Online-Shop der Welt?
Durch einfaches Scannen mit dem Smartphone, das „Mobile Tagging“, befinden sich die Benutzer unvermittelt im weltweiten Web und können dort schnell und unkompliziert auf die Seiten und Inhalte zugreifen, die durch den QR-Code angestoßen werden. Für Vertriebs- und Marketingspezialisten hat sich damit ein Traum erfüllt: Sie können ihre Kunden und anvisierten Zielgruppen praktisch kostenfrei, aber sehr gezielt, auf Informationen zu ihren Produkten und Services leiten. Einer Studie von eBay aus dem Dezember 2011 zufolge ist das Potenzial, auf diesem Wege direkten Umsatz zu generieren, immens: 48 Prozent aller befragten Personen würden sofort online bestellen, wenn sie über einen QR-Code auf ein interessantes Produkt stoßen. Mutiert das pixelige QR-Quadrat auf seinem Erfolgszug also zum kleinsten Online-Shop der Welt? Mehr und mehr Hersteller jedenfalls wissen die Lösung als Umsatz-Turbo einzusetzen und die Benutzer genießen den Scan- und Browse-Komfort, den so nur QR-Codes bieten.
Genau das macht die codierten Informationsträger aber auch interessant für Hacker. Sie machen sich die wachsende Popularität von QR-Codes zunutze, um sie für so genannte Social Engineering-Attacken zu missbrauchen. Von Social Engineering spricht man dann, wenn ein Angreifer menschliche Eigenschaften und Schwächen ausnutzt, um sich unrechtmäßig Informationen anzueignen.
Die menschliche „Schwäche“ im Umgang mit QR-Codes ist zum einen die reine Neugier auf das, was passiert, wenn ein Code gelesen wird. Zum anderen ist es das Vertrauen, das für das Scannen der kleinen Quadrate praktisch Voraussetzung ist. Sie erwecken beim Benutzer den Eindruck, dass er der Integrität des Code-Anbieters Glauben schenken und davon ausgehen kann, dass die vom Code gewählte Zieladresse legitim ist.
Kleines Quadrat, große Angriffsfläche
Ob das tatsächlich so ist, ist für den einzelnen nicht nachvollziehbar: Die Webseiten und Inhalte, zu denen der Code letztlich führt, ist in vielen kleinen Punkten versteckt. So haben Internetbetrüger und Datendiebe ein leichtes Spiel, den mobilen Anwender auf schadhafte Websites oder zu Malware zu leiten.
Darüber hinaus haben so genannte QR-Code-Scanner für Smartphones oft eine direkte Verbindung zu anderen Smartphone-Funktionalitäten wie Email, SMS, lokalen Services und App-Installationen. Über diese Verbindungen werden nicht nur die potentiellen Risiken für die mobilen Geräte selbst erhöht, sondern eventuelle Viren, Würmer und Schadcodes bis ins Unternehmen hinein getragen. Das kleine Quadrat bietet dem Hacker also eine große Angriffsfläche.
Der erste Schritt einer Attacke besteht in der geschickten Verbreitung des Codes, um ihn an die potentiellen Opfer heran zu bringen. Eine einfache, aber durchaus effiziente Verbreitungsmöglichkeit besteht in der Einbettung des Codes in eine Email, wo er als Köder für einen Phishing-Angriff dienen kann. Bevorzugt werden schadhafte QR-Codes aber auf vertrauenswürdig erscheinenden Dokumenten verbreitet, etwa auf Flyern für Messen und Seminare oder in Form authentisch wirkender Gutscheine und Aufkleber, wie sie für bestimmte Werbemaßnahmen eingesetzt werden.
Schutz für die „mobile Geldbörse“
Ist der Code erst einmal im Umlauf, hat der Angreifer eine Vielzahl von Betrugsoptionen, unter denen er wählen kann. In der einfachen Form könnte der Code den Benutzer direkt auf falsche Webseiten und Online-Stores führen und dort zum Beispiel Kreditkarteninformationen sammeln. Raffiniertere Angriffe leiten den Benutzer zum Beispiel auf Websites, die am mobilen Endgerät einen Jailbreak vornehmen – also sämtliche Nutzungsbeschränkungen entfernen – und sich damit Zugriff auf das Betriebssystem verschaffen. Wie bei einem so genannten Drive-by-Download kann der Hacker dann auf dem Endgerät ungehindert Schadsoftware oder Applikationen wie Key Logger und GPS-Tracker installieren – natürlich ohne Kenntnis oder Zustimmung des Benutzers.
Das wohl größte potentielle Risiko für den mobilen Anwender bringt die zunehmende Ausführung von Online-Banking und Zahlungen über das Smartphone mit sich – das damit zahlreiche, sensitive Konto-, Kreditkarten- und Finanzinformationen enthält. Mit Hilfe von QR-Codes, die mobile Endgeräte „knacken“ und sich in Applikationen einnisten können, können sich Hacker hier wie virtuelle Taschendiebe an den „mobilen Geldbörsen“ bedienen. Eine weitere Gefahr geht von bereits existierenden, QR-basierten Zahlungslösungen aus. Diese werden zwar bislang noch wenig genutzt, dürften sich jedoch mit der zunehmenden, öffentlichen Akzeptanz von QR-Codes rasch verbreiten.
Tipps: Schlauen Scanner nutzen, Daten verschlüsseln, aufklären
Die wichtigste Vorsichtsmaßnahme, um die Risiken der trendigen QR-Quadrate zu vermeiden, liegt in der frühzeitigen Enthüllung ihres Informationsgeheimnisses: Der Anwender sollte bereits beim Einscannen einwandfrei feststellen können, welchen Link oder welche Quelle der Code aufrufen wird. Einige „schlaue“ QR-Code-Scanner bieten dem Benutzer die hierfür nötige Transparenz und fragen nach, ob er einen bestimmtem Link oder eine Aktion tatsächlich ausführen will. So hat der Anwender die Möglichkeit, die Validität eines Links besser einschätzen zu können, bevor der gescannte Code tatsächlich aktiviert wird.
Für Smartphones, die im Unternehmen eingesetzt werden, sollte eine Datenverschlüsselungslösung in Erwägung gezogen werden. So sind geschäftsrelevante Daten selbst dann geschützt und nicht von Hackern nutzbar, wenn ein schadhafter QR-Code auf dem Endgerät einen Trojaner oder andere Malware installieren konnte.
Wie in allen Bereichen der Sicherheit gilt vor allem auch bei der Verschlüsselung von Smartphones: beim Anwender Bewusstsein schaffen. Sicherheit ist kein notwendiges Übel, sondern liefert die notwendige Basis für viele Dienste, insbesondere für das mobile Arbeiten. Ebenso selbstverständlich, wie für die Benutzer z. B. die SSL-Verschlüsselung von Informationen beim Homebanking geworden ist, sollte auch der Schutz solch sensibler Daten auf dem Mobiltelefon sein. Kontinuierliche Aufklärung und eine umfassende, unternehmensweit integrierte Sicherheitslösung, schieben auch neuen Gefahren wie bösartigen QR-Codes erfolgreich den Riegel vor.
Christine Schönig, Technical Managerin, Check Point Software Technologies GmbH
